29.04.2008

Автоматический анализ патчей и генерация эксплоитов, пользователи Microsoft под угрозой?

image

Авторы исследования обвиняют Microsoft в использовании опасного метода распространения патчей

Авторы исследования обвиняют Microsoft в использовании опасного метода распространения патчей. В докладе сообщается о возможности автоматического создания эксплоита на только что вышедшую заплатку за весьма короткий срок.

О проекте

Проект под кодовым названием APEG (Automatic Patch-based Exploit Generation) был обнародован группой американских исследователей на прошлой неделе, заметка о котором была размещена на популярном сайте, посвященном безопасности - SecurityFocus.com. Цель исследования – создание механизма автоматической генерации эксплоитов на основе анализа бинарного кода исправлений от производителей (Microsoft).

Авторы исследования - David Brumley, Pongsin Poosankam, Dawn Song и Jiang Zheng – обвиняют Microsoft в использовании опасного метода распространения патчей: «Когда Microsoft выпускает патч, они, с точки зрения безопасности, говорят – Вот вам эксплоит». Исследователи в своем докладе говорят о возможности автоматического создания (за весьма короткий срок) эксплоита на только что вышедшую заплатку.

В документе говорится, что исследователям таким образом удалось создать эксплоиты к 5 распространенным уязвимостям:

http://www.securitylab.ru/vulnerability/274641.php (CVE-2006-3730)

http://www.securitylab.ru/vulnerability/270443.php (CVE-2006-1300)

http://www.securitylab.ru/vulnerability/262519.php (CVE-2006-0021)

http://www.securitylab.ru/vulnerability/301221.php (CVE-2007-3034)

http://www.securitylab.ru/vulnerability/205793.php (CVE-2005-1211)

Самый быстрый результат - 30 секунд для анализа патча и генерации эксплоита.
 
Так ли все плохо на самом деле?

Техника дизассемблирования патчей и написания PoC кода известна уже давно. Большинство компаний, выпускающих security-ориентированное ПО (системы обнаружения вторжения, антивирусы, межсетевые экраны и т.п.) получают все необходимые данные для создания сигнатур и предотвращения атак в течении 24 часов. И зачастую это происходит до того, как пользователь установит соответствующие заплатки. Здесь речь идет не только о Microsoft, но и о других компаниях, которые выпускают приложения с закрытым кодом. Авторы исследования громко называют APEG будущим злонамеренного ПО и обвиняют Microsoft в недостаточно безопасной организации работы механизма Windows Update.

Я попробую опровергнуть это «предсказание» будущего:

Прежде всего, далеко не каждая уязвимость может быть удачно эксплуатирована на большинстве систем, а именно количество потенциально уязвимых систем является решающим фактором для реализации подобного механизма в malware.

В данный момент процесс дизассемблирования патчей и создания PoC кода уже довольно неплохо автоматизирован, что позволяет получить тот же эксплоит в течении 24 часов.

Для чего реализовывать довольно сложную логику анализа патчей и создания эксплоитов, если до сих пор злоумышленники удачно эксплуатируют уязвимости 2-х годичной давности? Не думаю, что ситуация с установкой исправлений изменится в ближайшем будущем.

Эксплуатация уязвимостей в Web приложениях и распространение злонамеренного ПО через популярные Web сайты, используя уязвимости в браузерах и надстройках к ним, гораздо эффективнее и проще в реализации, чем эксплуатация системных компонентов ОС. И как правило данные о подобных уязвимостях попадают к производителям уже после их появления в паблике.

Мое общее впечатление от исследования – авторам очень хотелось «продвинуть» это исследование и лишний раз сказать заветную фразу «вендекапец» и «Microsoft во всем виновата».

Все желающие могут просмотреть данные исследования по адресу http://www.cs.cmu.edu/~dbrumley/pubs/apeg.pdf.

PS. Авторы также предлагают методы борьбы с дизассемблированием патчей. Но все они, по моему мнению, не только не сделают обновления безопасными, но и могут привести к еще большим проблемам, связанным как с безопасностью так и со стабильностью работы системы.

А всем читателям, как всегда рекомендуем устанавливать вовремя исправления и следовать общим инструкциям по соблюдению правил безопасности работы в Интернет.

Валерий Марчук
www.SecurityLab.ru

или введите имя

CAPTCHA
Страницы: 1  2  
29-04-2008 18:52:10
Эксплуатация уязвимостей в Web приложениях и распространение злонамеренного ПО через популярные Web сайты, используя уязвимости в браузерах и надстройках к ним, гораздо эффективнее и проще в реализации, чем эксплуатация системных компонентов ОСПозвольте не согласиться. Авторы исследования не ограничиваются только эксплуатированием патчей под ОС. Или патчи для IE не поставляются через Windows Update? Вы получаете патч для IE, генерите Exploit и внедряете его на 24 часа в популярный сайт, в результате у Вас - бот сеть с полностью пропатченными компьютерами . Для чего реализовывать довольно сложную логику анализа патчей и создания эксплоитов, если до сих пор злоумышленники удачно эксплуатируют уязвимости 2-х годичной давности?Для того, чтобы в течение 24 часов заразить множество пользователей (а таких не мало), которые регулярно обновляют свою ось и предустановленное на ней ПО. При этом можно не знать зарание подробную информацию обо всех найденных, в том числе и сотрудниками Microsoft, уязвимостях. Вообще же, на мой взгляд, интересный подход, реализующий полуавтоматический реверсный инжениринг.
0 |
я
30-04-2008 12:29:09
Самый быстрый результат - 30 секунд для анализа патча и генерации эксплоита. до чего техника дошла. хотя как-то слабо верится
0 |
04-05-2008 00:39:50
Напрасно, сие с успехом эксплуатируется зарубежными коллегами последние лет 5. Автору можно сказать спасибо за то что "высветил" достаточно элитную вещь. Теперь начнутся подвижки и здесь. x)
0 |
02-05-2008 02:16:21
Как это говорится "Если на стене висит ружье, то оно выстрелит"? => Если есть технология, то и ее потребители найдутся. А вобще такие исследования делаются не для того чтобы сказать ""вендекапец"", а для того чтобы, так сказать, дисциплинировать производителя ПО.
0 |
05-05-2008 11:13:35
Прочитал. Улыбнуло!
0 |
29-07-2008 12:01:24
сообщается о возможности автоматического создания эксплоита на только что вышедшую заплатку за весьма короткий срокwerry intresting
0 |
Страницы: 1  2